Heroku現時已提供SMS以外其他多種多因素驗證的方法。
駭客技術日益提高,多因素驗證(MFA)已經被視為登入帳戶的必要安全措施。一直以來包括銀行在內的機構,都愛以SMS短訊來傳送MFA的一次性密碼,不過著名PaaS平台Heroku早前就發出公告,通知用戶將會在今年12月取消SMS作為MFA工具,並指SMS存在保安風險。
企業愛用SMS作為MFA工具,主要是因為它架設容易、用戶熟悉、手機系統支援等優點。不過早在2017年美國國家標準暨技術研究院NIST曾發表報告,指出安全研究人員已經證明了大規模重定向或攔截SMS短訊的成功率愈來愈高,雖然相對於只使用單獨密碼而言,密碼加短訊仍能加強對帳號保護,但就未達到NIST制訂的設備驗證機制所要求的強度。SMS的風險不僅在於手機被偷去,還包括發給用戶的短訊有可能在惡意分子沒有接觸用戶手機的情況下被截取。
NIST建議企業淘汰SMS作驗證的第二要素而不是立即廢除,主要是考慮到企業升級現有保安系統的投資效益。而今次Heroku就沒有再向2020年以後註冊的新用戶提供SMS作MFA的選項,並宣布明年全面廢除。他們強烈建議用戶最少設定多一個後備驗證方法,以防止預設基本驗證方法失效時會無法登入。對於一般用戶而言,如果你所使用的服務有提供SMS以外的MFA工具的話,就應該選用該種工具。
Google亦為用戶提供多種多因素驗證方法,不過就仍然保留SMS。